不列颠空战之抗D遐想

不列颠空战与抗DDoS之间有何联系?一个是真实世界的领空攻防战,一个是网络世界的流量攻防战,两个功防场景在克敌制胜方面有异曲同工之妙。本文将真实经典战役和运营商层面的DDoS攻防战互为类比进行推演,吸收真实战役的成功经验转换成抗D妙招,打造运营商云清洗平台抗D解决方案。 

不列颠空战是第二次世界大战期间纳粹德国对英国发动的大规模空战。敌我双方经过多轮殊死较量,无数伦敦之鹰血染长空,痛击法西斯侵略者,迫使德国始终无法取得英伦海峡的制空权优势,不得不放弃入侵英国的作战计划,开始转向进攻苏联。不列颠空战的胜利极大鼓舞了反法西斯国家和人民,意义非凡!
这场真实经典战役能给我们哪些启示?尤其是在没有硝烟的DDoS攻防战场,我们能够吸取哪些成功经验?

看得见

全面警戒

英国为了有效抵御德军飞机攻击,在全国共建成雷达站51座,其中东南沿海地区有38座,约占总数的75%,形成了严密的雷达警戒体系,覆盖范围如下图所示,如同一个向左开口的大“L”型。分为两个层次,第一层是中高空防空雷达系统,能有效发现飞行高度在4500米以下的飞机,第二层是低空防空雷达系统,能有效发现飞行高度在750米以下的飞机。这样英军就能通过雷达测出德军飞机来袭的大致方位和时间,指挥战斗机在有利的方位和时间迎击。

运营商网络要想抵御住攻方的DDoS攻击,也要考虑在自己的“防区”建立起类似的“雷达警戒体系”,先让自己具备发现DDoS攻击的能力。DDoS攻击告警监测系统如下图所示:

NTA相当于英国空军的雷达,严密监视全网流量。其部属一共分成4个层次:骨干网监测,主要用于监测外省到内部业务的攻击流量;城域网核心层监测,主要用于监测不同地市之间的攻击流量;城域网汇聚层监测,主要用于监测同城互打的攻击流量;大型IDC出口监测,主要用于监测攻击IDC内部的业务的攻击流量。

骨干网监测系统建议优先部署,城域网和IDC出口层级的监测系统可以逐步完善。DDoS攻击无论从哪个方向过来,都将无所遁形。所有层级的攻击告警信息汇总到NTA-ATM系统平台,便于统一监控、分析和调度清洗资源进行防御。NTA-ATM的展示界面示例如下:

提前响应

而雷达使用之前,通常都是派出战斗机在空中巡逻,由战斗机发现来袭敌机,使用雷达后,英军战斗机的每次起飞,都是有目的的迎战,极大减少了飞机、燃料和人员体力的消耗,很大程度上弥补了飞机数量不足的缺陷。

因此雷达无疑是英军取得胜利的最重要的王牌。同样在运营商网络内部署NTA和NTA-ATM后,无须等被攻击的客户报告后才响应,做到先于客户发现问题,先于客户解决问题,第一时间调用ADS清洗资源清洗攻击流量。

减少盲目的攻击应急响应,有的放矢,弥补运维力量不足的缺陷,下图是一个DDoS攻击事件处理响应的完整时间树,可以做到秒级处理,这在以前是不可想象的。

守得住

分区部署

不列颠空战时英国把本土分成了四个空军战区边界,由10战斗机群、 11战斗机群、12战斗机群和13战斗机群分别负责防御。以最佳战力配置迎击不同区域的来犯之敌,解决兵力不足很难全面防御的问题。

同样运营商网络部署清洗设备资源,建议根据自身网络结构和DDoS攻击方向,分区域部署,如下图所示:

最佳部署方案是在运营商网络的4个层级分别部署清洗资源(单台ADS或ADS集群),组建不同的清洗中心。骨干网的云清洗中心建议优先部署,其它各层级清洗中心可逐步完善。发现DDoS攻击后,NTA可以调动最佳的清洗资源或资源组合来清洗DDoS攻击流量。

合理调配

在攻守双方力量悬殊的情况下,如果能根据战场瞬息万变的情报信息,抓住关键,集中优势兵力一鼓而下,往往能够取得以少胜多的伟大胜利。不列颠空战中,经常利用雷达监控信息,提前预警和部署,对来犯之敌集中数倍于敌的优势兵力予与痛歼。

DDoS攻击者经常能够利用海量的僵尸主机发起远大于带宽资源的攻击,通过NTA监测系统,提前预警攻击流量的来向、规模和攻击类型,多清洗中心就近触发近源清洗。做到最佳清洗资源清洗特定的攻击流量或多个清洗资源能力整合在一起防御超大规模的DDoS攻击。

决策快

掌控全局

如何在短时间内给出明确的对敌措施成了关键,于是沙盘演示成了重中之重。当时的英军防空作战指挥室纵深约20米,一共有两层。

楼下是一张大型地图台,工作人员们随时进行敌军情况的标注;对面悬挂一块遮盖了正面墙壁的大黑板,黑板分成6个装有若干灯泡排列的纵行,代表6个战斗机驻防中心,这些驻防中心的每个战斗机中队又有它自己的小格,并且用横线划开。楼上是玻璃座厢,指挥官时刻关注着下面直观显示的战场态势,根据楼下的即时态势以及参谋人员的分析、推演,做出各种决断。

绿盟科技为运营商量身订做了一套云清洗平台对接NTA和ADS,整个云清洗平台类是英国的攻防运维沙盘,运维人员能够通过该平台实时关注全网DDoS攻击态势,分析攻击数据和下达清洗策略(一键云清洗或自动清洗)。

攻击演练

军事指挥专家可以通过沙盘研究敌情、作战方案,组织协同动作,实施战术演练,研究战例和总结作战经验等,实战中就可以在短时间内做出有效判断,给予德军致命打击。

很多客户对DDoS攻击危害和防护手段缺乏了解,通过云清洗平台内嵌的一套攻击演练平台,模拟真实的DDoS攻击,在贴近实战的演练活动中,提升客户对DDoS攻击危害和防护手段的认知,加快整体DDoS防护体系的协同响应速度,提高攻击流量清洗效果。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

发表评论